关于NAT伪装请教
/ip firewall natadd chain=srcnat src-address=192.168.100.0/24 action=src-nat to-address=202.96.128.2
/ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=pppoe-out01 src-address=10.0.0.0/8
听说第一种伪装比较好! 不知道是不是呢?
感觉没区别呢? 回复 星空之云 的帖子
没有仔细用当然没区别了.
第一种:如果内网FTP服务器端口影射出去后,有人登陆可以看到登录者的IP
第二种:FTP影射根本就会有问题,即时成功了,在FTP服务器看到的是路由器内网IP host2318 发表于 2011-7-31 22:20 static/image/common/back.gif
回复 星空之云 的帖子
没有仔细用当然没区别了.
呵呵,没映射出去,怪不得没察觉哪里有问题!
使用倒没觉的有啥问题! 固定ip 和 pppoe拨号的 设置 对不
如果pppoe想用就得用脚本弄? 不知道自己是是就知道了
host2318 发表于 2011-7-31 22:20 static/image/common/back.gif
回复 星空之云 的帖子
没有仔细用当然没区别了.
自己去测试下,再来回答问题。
有固定ip的话,当然是 srcnat为好,这样可以省去查找接口ip的过程。
至于登陆ip显示是真实ip,还是路由器的ip,这得看srcnat的时候,是不是对外网进入内网的数据包也做了NAT,很明显,上面的两种规则都没有。 chain=srcnat action=masquerade dst-address-type=!local
我的够简单,就一句。 其实masquerade,一点不慢,并不是每次都查找接口IP的,只查一次,接口IP改变了才会查第二次。跟NAT根本没区别 zhjchina 发表于 2011-8-2 09:38 static/image/common/back.gif
自己去测试下,再来回答问题。
有固定ip的话,当然是 srcnat为好,这样可以省去查找接口ip的过程。
感觉一样,没啥区别!
cow_boys 发表于 2011-8-2 10:11 static/image/common/back.gif
chain=srcnat action=masquerade dst-address-type=!local
我的够简单,就一句。
那不是和第一种差不多,加了一个目标地址排除源地址而已! 有啥好处呢! cow_boys 发表于 2011-8-2 10:13 static/image/common/back.gif
其实masquerade,一点不慢,并不是每次都查找接口IP的,只查一次,接口IP改变了才会查第二次。跟NAT根本没区 ...
每个连接都要查找一次,masquerade同srcnat一样,都是路由后的动作,因此每条连接确定路由后masquerade 都要查找一次接口IP。
从iptables源码看 理论上 srcnat 比 masquerade 效率高一点点,实际使用中除非使用者是机器,或者硬件资源已耗尽。然而masquerade在很多情况下更方便,对配置RouterOS者来说效率更高。 回复 ksw520 的帖子
版主英明(凑够十个字) 如果接口上有多个ip,masquerade 会选择使用第一个ip。
用srcnat的话,可以随意指定NAT所用的ip。
比如说80端口用一个ip,
其他用另外的ip。
ksw520 发表于 2011-8-2 12:45 static/image/common/back.gif
每个连接都要查找一次,masquerade同srcnat一样,都是路由后的动作,因此每条连接确定路由后masquerade ...
按你这么说 ROS使用masquerade 更方便了!更有效率了! 星空之云 发表于 2011-8-2 18:06 static/image/common/back.gif
按你这么说 ROS使用masquerade 更方便了!更有效率了!
这位是不是理解能力差了点
页:
[1]
2